Day 23: PCI-DSS 카드 정보 보호 표준

1. PCI-DSS의 개요

1.1 정의 및 관리 주체

  • 정식 명칭 : Payment Card Industry Data Security Standard (지불카드산업 데이터보안 표준)
  • 개념 : 신용카드 정보 유출 방지를 위해 5대 글로벌 카드사(Visa, Master, Amex, Discover, JCB)가 공동 제정한 글로벌 보안 기술 및 운영 표준입니다.
  • 관리 기관 : PCI SSC (Payment Card Industry Security Standards Council)에서 표준 개발 및 관리를 담당합니다. 2006년 카드사들이 공동 설립했습니다.
  • 최신 버전 : 2024년 3월부터 v4.0 이 전면 적용되었습니다. (v3.2.1은 2025년 3월 종료)

1.2 제정 배경

  • 카드 정보 유출 사고 급증
  • 카드사마다 상이한 보안 기준 존재
  • 통일된 글로벌 표준 필요성
  • 카드 회원 정보 보호 및 사기 거래 방지 목적

1.3 주요 목적 및 적용 대상

  • 목적 : 카드 소지자 데이터(CHD)와 민감한 인증 데이터(SAD)를 안전하게 보호하여 결제 생태계의 신뢰를 유지합니다.
  • 적용 대상 : 카드 데이터를 저장(Store), 처리(Process), 전송(Transmit) 하는 모든 주체
    • 가맹점 (오프라인 매장, 온라인 쇼핑몰, 호텔, 레스토랑 등)
    • 서비스 제공자 (PG사, 결제 대행사, 호스팅 업체, 클라우드 서비스 제공자 등)

1.4 PCI-DSS vs 기타 표준

구분 PCI-DSS ISO 27001 ISMS-P
범위 카드 정보만 정보보호 전반 정보보호 + 개인정보
적용 대상 카드 처리 조직 모든 조직 정보통신서비스 제공자
인증 의무 카드사 요구 시 자발적 일부 의무
발행 기관 PCI SSC ISO/IEC 한국인터넷진흥원
유효 기간 1년 3년 3년
  • PCI-DSS는 카드 정보에 특화된 표준이며, 매년 재평가가 필요합니다 (타 표준보다 엄격).

2. 핵심 용어 및 데이터 분류

2.1 CDE (Cardholder Data Environment) — 카드 소지자 데이터 환경

  • 카드 데이터를 저장·처리·전송하는 시스템 및 네트워크 환경 전체
  • PCI-DSS 심사의 직접적인 대상 범위(Scope) 가 됩니다.

2.2 CHD (Cardholder Data) — 카드 소지자 데이터

카드 소지자를 식별할 수 있는 정보로, 저장 가능하지만 보호 조치가 필수입니다.

  • PAN (Primary Account Number) : 카드 번호 — 암호화 또는 마스킹 필수
  • 카드 소지자 이름
  • 서비스 코드
  • 유효 기간

2.3 SAD (Sensitive Authentication Data) — 민감 인증 데이터

카드 인증에 사용되는 민감 데이터로, 승인 후 절대 저장 금지입니다.

  • CVV/CVC : 카드 뒷면 3자리 보안 코드
  • PIN : Personal Identification Number
  • 마그네틱 트랙 데이터 : Track 1, Track 2

핵심 원칙 : SAD는 결제 승인 후 즉시 삭제해야 합니다. 유출 시 복제 카드를 만들 수 있어 가장 위험한 데이터입니다.

3. 6대 목표와 12개 요구사항 (v4.0)

PCI-DSS는 관리적 요건보다 기술적/구체적 요건 에 집중하며, 6개 목표와 12개 요구사항으로 구성됩니다.

목표 1 : 안전한 네트워크 및 시스템 구축 및 유지

  • 요구사항 1 : 네트워크 보안 통제(방화벽) 설치 및 유지

    • CDE와 외부 네트워크 사이 방화벽 설치
    • 인바운드 / 아웃바운드 트래픽 제한, 불필요한 포트 차단
    • 외부 접속 서비스는 DMZ에 배치
    • 네트워크 흐름 : 인터넷 -> 외부 방화벽 -> DMZ (웹 서버) -> 내부 방화벽 -> CDE (카드 정보 DB)
    • 네트워크 다이어그램을 작성하고 정기적으로 업데이트

  • 요구사항 2 : 모든 시스템 구성 요소에 안전한 구성 적용

    • 벤더 기본 비밀번호 즉시 변경 (예 : admin/admin -> 강력한 비밀번호)
    • 불필요한 서비스, 프로토콜, 포트 제거
    • 강력한 암호화만 사용 (TLS 1.2 이상)
    • 약한 암호화 비활성화 (SSL, TLS 1.0/1.1)

목표 2 : 계정 데이터 보호

  • 요구사항 3 : 저장된 계정 데이터 보호

    • 필요한 CHD만 저장, 보유 기간 최소화
    • SAD 저장 완전 금지 (CVV/CVC, PIN, 마그네틱 트랙 데이터)
    • PAN 저장 시 AES-256 암호화, 암호키는 PAN과 분리 보관
    • PAN 화면 표시 시 마스킹 (예 : 1234-****-****-5678)

  • 요구사항 4 : 개방형 공용 네트워크를 통한 카드 소지자 데이터 전송 시 암호화

    • HTTPS (TLS 1.2 이상) 필수
    • 무선 네트워크 : WPA2 이상
    • 약한 암호화 (SSL, TLS 1.0/1.1, WEP) 사용 금지

목표 3 : 취약점 관리 프로그램 유지

  • 요구사항 5 : 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호

    • CDE 내 모든 시스템에 백신 소프트웨어 설치
    • 백신 정의 파일 자동 업데이트
    • 최소 주 1회 전체 스캔
    • 백신 로그 보관

  • 요구사항 6 : 안전한 시스템 및 소프트웨어 개발 및 유지

    • 중요 보안 패치는 30일 이내 적용
    • OWASP Top 10 대응 (SQL Injection, XSS 등 방지)
    • 시큐어 코딩 : 파라미터를 직접 쿼리에 연결하는 방식 대신 Prepared Statement 사용
    • 공개 웹 애플리케이션에 WAF 적용

목표 4 : 강력한 접근 통제 조치 구현

  • 요구사항 7 : 비즈니스 필요에 따라 계정 데이터에 대한 접근 제한

    • 역할 기반 접근 통제(RBAC) 적용
    • 명시적으로 허용하지 않으면 기본 거부 원칙
    • 분기 1회 이상 권한 정기 검토

  • 요구사항 8 : 사용자 식별 및 인증

    • 사용자별 고유 계정 부여, 공용 계정 금지
    • 비밀번호 정책 : 최소 12자, 영문 대소문자 + 숫자 + 특수문자, 90일마다 변경, 이전 4개 재사용 금지
    • MFA(다중 인증) 필수 : CDE 접근 시 비밀번호 + OTP
    • 로그인 6회 실패 시 계정 잠금 (30분)

  • 요구사항 9 : 계정 데이터에 대한 물리적 접근 제한

    • CDE 서버실 출입카드 및 방문자 동행 제도
    • 서버실 CCTV 24시간 녹화 (90일 보관)
    • 백업 테이프 등 미디어 안전한 장소 보관, 폐기 시 물리적 파쇄
    • POS 단말기 변조 방지

목표 5 : 네트워크 정기 모니터링 및 테스트

  • 요구사항 10 : 시스템 구성 요소 및 계정 데이터에 대한 모든 접근 로그 및 모니터링

    • 모든 CDE 접근 기록 (로그인/로그아웃, 관리자 작업, 카드 정보 접근)
    • 로그 최소 1년 보관, 최근 3개월은 즉시 분석 가능
    • 로그 위·변조 방지, 별도 로그 서버 운영
    • SIEM (Splunk, ELK 등) 도입 및 실시간 알림 설정

  • 요구사항 11 : 보안 시스템 및 네트워크 정기 테스트

    • 외부 취약점 스캔 : 분기 1회 (ASV 승인 업체)
    • 내부 취약점 스캔 : 분기 1회
    • 침투 테스트 : 연 1회 이상 (중요 변경 후 추가)
    • 무선 AP 탐지 : 분기 1회
    • FIM (파일 무결성 모니터링) : 중요 파일 변경 탐지

목표 6 : 정보보안 정책 유지

  • 요구사항 12 : 모든 담당자에 대한 정보보안 정책 지원
    • PCI-DSS 준수 정책 수립 및 연 1회 검토
    • 위험 평가 연 1회 이상 실시
    • 보안 교육 : 채용 시 교육 + 연 1회 정기 교육
    • 침해사고 대응 계획 수립 및 연 1회 이상 훈련
    • 서비스 제공자 PCI-DSS 준수 계약 및 정기 점검

4. 인증 레벨 및 검증 방식

4.1 가맹점 레벨 (Merchant Levels)

연간 거래량에 따라 4개 레벨로 구분합니다.

레벨 연간 거래량 평가 방법
Level 1 600만 건 이상 QSA 현장 심사 (ROC)
Level 2 100만 ~ 600만 건 SAQ + 분기별 취약점 스캔
Level 3 2만 ~ 100만 건 SAQ + 분기별 취약점 스캔
Level 4 2만 건 미만 SAQ (카드사 재량)

4.2 서비스 제공자 레벨

레벨 연간 거래량 평가 방법
Level 1 30만 건 이상 QSA 현장 심사 (ROC)
Level 2 30만 건 미만 SAQ 또는 ROC

4.3 평가 방법

  • SAQ (Self-Assessment Questionnaire) : 소규모 가맹점이 스스로 평가하는 자가 진단표

    • SAQ A : 전자상거래 (제3자 결제 대행)
    • SAQ A-EP : 전자상거래 (자체 결제 페이지)
    • SAQ B : POS 단말기만 사용
    • SAQ C : 웹 기반 POS
    • SAQ D : 기타 모든 가맹점

  • ROC (Report on Compliance) : QSA가 대규모 가맹점을 현장 심사

    • QSA (Qualified Security Assessor) : PCI SSC 인증 심사원

  • ASV Scan : 분기 1회 외부 취약점 스캔

    • ASV (Approved Scanning Vendor) : PCI SSC 승인 스캔 업체

5. 보안 컨설팅 실무 시사점

5.1 준수 컨설팅 프로세스 (총 6 ~ 12개월)

  • Phase 1 — 범위 및 현황 진단 (1개월) : CDE 범위 결정, 네트워크 다이어그램 작성, 갭 분석
  • Phase 2 — 개선 계획 수립 (1개월) : 우선순위 결정, 로드맵 수립, 비용 산정
  • Phase 3 — 통제 구현 (3 ~ 6개월) : 네트워크 분리, 암호화, 접근 통제, 로그 관리, 정책·절차 수립
  • Phase 4 — 평가 준비 (1개월) : 내부 점검, 증적 준비, 모의 심사
  • Phase 5 — 평가 (1 ~ 2개월) : ASV 스캔, QSA 심사 또는 SAQ 작성

5.2 범위 최소화 (Scope Reduction) 전략

CDE 범위를 최소화하면 비용·노력 절감이 가능합니다. 컨설팅의 핵심 전략입니다.

  • 네트워크 분리 : 결제 서버를 별도 VLAN으로 격리하고 방화벽으로 엄격히 통제

  • 카드 정보 저장 최소화 : 필요한 경우에만 저장, 가능하면 토큰화 적용

  • 제3자 결제 활용 : PG사에 결제 위임 시 자체 CDE 구축 불필요 (SAQ A 해당)

    범위 최소화 전 : 모든 서버가 CDE -> 모든 서버에 PCI-DSS 적용 -> 비용 높음

    범위 최소화 후 : 결제 서버만 CDE -> 결제 서버만 PCI-DSS 적용 -> 비용 낮음

5.3 토큰화 (Tokenization)

실제 PAN을 무작위 토큰으로 대체하는 기법입니다.

  • 원리 : 실제 PAN (1234-5678-9012-3456) -> 토큰 (TOK-A1B2C3D4E5F6) 으로 대체 저장
  • 장점 :
    • PAN 저장 불필요 => CDE 범위 축소
    • 유출되어도 무의미 (토큰은 무작위 값으로 실제 카드 정보와 무관)
  • 활용 : 토큰만 내부 시스템에 저장, 실제 PAN은 토큰 서비스 업체가 보관, 결제 시 토큰 -> PAN 변환

5.4 타 인증 체계와의 비교

  • ISO 27001 : 기업 전체의 정보보호 관리 체계(Governance) 중심
  • ISMS-P : 한국 법적 준거성을 기반으로 한 관리 + 기술 혼합
  • PCI-DSS : 결제 데이터라는 특정 자산에 대해 매우 엄격하고 구체적인 기술 수치 를 요구 (Pass / Fail 방식)

6. PCI-DSS v4.0 주요 변경 사항 (2024년)

  • 비밀번호 정책 강화 : 최소 길이 8자 -> 12자 권장
  • MFA 확대 : CDE 접근 시 모든 계정에 MFA 필수 적용
  • 맞춤형 구현 허용 : 일부 요구사항에 대해 자체 방법 허용 (단, 동등 이상의 보안 수준 입증 필요)
  • 지속적 모니터링 강조 : 연 1회 평가 방식 -> 지속적 준수 문화로 전환
  • 새로운 요구사항 추가 : 멀티 테넌트 서비스 제공자 보안, 암호화 알고리즘 정기 검토

7. 실무 체크리스트

  • SAD 파기 : 결제 승인 후 CVC/CVV, PIN 등을 즉시 삭제하고 있는가?
  • PAN 암호화 : DB 내 카드번호(PAN)가 AES-256으로 암호화되어 있는가?
  • 전송 암호화 : HTTPS (TLS 1.2 이상)를 사용하는가?
  • 접근 통제 : CDE 접속 시 모든 계정에 MFA 가 적용되어 있는가?
  • 비밀번호 정책 : 12자 이상, 90일마다 변경하는가?
  • 네트워크 분리 : 결제 서버와 일반 서버가 방화벽으로 격리되어 있는가?
  • 패치 관리 : 중요 보안 패치를 30일 이내 적용하는가?
  • 로그 보관 : 접근 로그를 1년간 보관하고 일일 검토하는가?
  • 정기 점검 : 분기별 ASV 스캔 과 연 1회 모의해킹 결과가 존재하는가?
  • 교육 : 연 1회 이상 보안 교육을 실시하고 침해사고 대응 훈련을 하는가?

학습 정리

  • PCI-DSS v4.0 : 5대 글로벌 카드사(Visa, Master 등)가 제정한 결제 보안 표준, 유효 기간 1년
  • CDE : 카드 데이터가 흐르는 모든 시스템 및 네트워크 범위 (심사 대상)
  • 데이터 분류 : CHD(카드번호 등)는 암호화 필수, SAD(CVC/CVV 등)는 승인 후 저장 절대 불가
  • 6대 목표, 12개 요구사항 : 기술적 요건 중심의 구체적 수치 기반 표준 (Pass / Fail 방식)
  • 강력한 접근 통제 : CDE 접속 시 모든 계정에 MFA 적용 필수
  • 검증 체계 : QSA (현장 심사), ASV (분기별 외부망 취약점 스캔), SAQ (자가 진단표)
  • 인증 레벨 : 연간 거래 건수에 따라 Level 1 ~ 4 차등 적용 (600만 건 기준 Level 1)
  • 범위 축소 전략 : 네트워크 분리 및 토큰화를 통한 심사 대상 최소화
  • v4.0 변화 : 비밀번호 12자, MFA 확대, 지속적 준수 강조

다음 학습 주제

  • Day 24 : GDPR (EU 일반 데이터 보호 규정)